Pourquoi la Certification HDS ne garantit pas votre conformité au RGPD?

Contrairement à ce que des entreprises peuvent croire, la Certification HDS de leur hébergeur n’implique en aucun cas leur conformité au RGPD. Tout ce que cela leur indique, c’est que leur hébergeur offre des garanties suffisantes en matière de protection des données.

La confusion vient du fait que, malgré tout, faire appel à un sous-traitant certifié HDS pourra souvent aider le Responsable du traitement à se conformer au RGPD… Qu’en est-il donc ?

La Certification HDS dans le contexte du RGPD

Selon le RGPD, une entreprise qui collecte et traite des données à caractère personnel doit remplir plusieurs exigences. Notamment :

  • Définir les buts et finalités des données qu’elle collecte
  • Recueillir le consentement des utilisateurs
  • Garantir les droits des utilisateurs (droit à l’oubli, droit à la portabilité, etc.)
  • Garantir la sécurité des données
  • Mettre en place une procédure en cas de fuites des données
  • Tenir un registre des activités de traitement des données (traçabilité des données)

Cependant, il n’est pas exclu que cette entreprise fasse appel à des entreprises externes pour l’aider. Par exemple, une entreprise peut décider d’externaliser les données qu’elle collecte auprès d’un hébergeur sous-traitant, lui permettant ainsi de ne pas devoir elle-même implémenter une solution d’hébergement, ni de devoir en assurer la sécurité.

Mais dans ce cas : comment s’assurer qu’un hébergeur offre des garanties suffisantes en matière de protection des données ? Comment s’assurer que les services qu’il propose sont sécurisés ? Et comment garantir que les droits de vos utilisateurs seront exercés ?

En France, ce problème est résolu par la Certification HDS.

Selon l’art. L1111-8 CSP, toute entreprise qui héberge des données personnelles de santé pour le compte d’un tiers est soumise à l’obligation d’une Certification HDS.

Pour obtenir cette certification, l’hébergeur devra démontrer qu’il remplit plusieurs exigences.Notamment:

  • les exigences de la norme ISO 20071 (sécurité des SI)
  • une partie des exigences de la norme ISO 20000-1 (gestion des services)
  • des exigences complémentaires aux normes précitées
  • des exigences relatives à la protection des données personnelles de santé
    (il est conseillé de se référer aux exigences de la norme ISO 27018)
  • des exigences complémentaires pour la protection de ces données
  • des exigences spécifiques au domaine de la santé

Ainsi, toute entreprise qui fait appel aux services d’un hébergeur certifié aura la garantie que celui-ci offre des produits et/ou services suffisamment sécurisés (en vertu des normes ISO correspondantes), et qu’il respecte la confidentialité des données hébergées.

Pourquoi les entreprises qui sous-traitent leurs données auprès d’un hébergeur certifié HDS doivent-elles encore se conformer au GDPR ?

#1 L’hébergeur n’est certifié HDS que pour les services qu’il propose.

La Certification HDS se décompose en six niveaux d’activité différents pour deux métiers d’hébergement distincts. On a donc :

Un certificat “hébergeur d’infrastructure physique” pour:

    • La mise à disposition de sites physiques permettant d’héberger l’infrastructure matérielle du SI de santé (1)
    • La mise à disposition de l’infrastructure matérielle du SI de santé (2)

Un certificat “hébergeurs infogéreurs” pour:

    • La mise à disposition de la plateforme logicielle (OS, middleware, base de données) du SI de santé (3)
    • La mise à disposition de l’infrastructure virtuelle du SI de santé (4)
    • L’administration et l’exploitation du SI de données (5)
    • La sauvegarde externalisée des données de santé (6)

Un hébergeur n’est certifié que pour les services qu’il propose ; il ne répond donc que des exigences liées à ses activités. Les entreprises doivent donc vérifier ce pour quoi leurs hébergeurs sont certifiés, et être au clair sur les services qui leur sont fournis.

#2 C’est l’hébergeur qui est certifié HDS, non pas l’entreprise qui utilise ses services.

Même si une entreprise fait appel à un hébergeur certifié HDS pour les données qu’elle collecte, cela ne dit rien sur sa propre conformité au regard du RGPD.

L’un des scénarios les plus courants est celui du “Shadow IT”. Une entreprise peut utiliser le système sécurisé d’un hébergeur pour ses données, mais si ses employés en gardent une copie sur des systèmes non sécurisés, alors ces données ne seront pas protégées.

L’entreprise doit donc toujours vérifier qu’elle remplit elle-même toutes les exigences du RGPD, même si son hébergeur en remplit certaines de son côté. De plus, il faut garder à l’esprit que l’externalisation des données repose sur un modèle de responsabilité partagée

#3 La Certification HDS ne couvre pas toutes les exigences du RGPD.

Enfin, il faut savoir que les exigences de la Certification HDS ne couvrent pas toutes les exigences du RGPD. Dès lors, même si une entreprise décidait de remplir elle-même toutes les exigences de la certification, elle ne serait toujours pas conforme au RGPD.

Ainsi, même en faisant appel à un hébergeur certifié HDS pour les 6 niveaux d’activité, une entreprise devra toujours veiller à se conformer elle-même, entièrement, au RGPD.

Un hébergeur certifié HDS offre simplement des solutions fiables sur lesquelles les entreprises peuvent s’appuyer pour atteindre leur propre conformité.

Pourquoi la Certification HDS peut néanmoins aider les entreprises à se conformer au RGPD en interne ?

La Certification HDS peut servir de guide pour les entreprises

Le RGPD ne donne que les lignes directrices à suivre pour les entreprises. Par exemple, l’art. 32 RGPD impose aux entreprises d’assurer la sécurité des données, mais ne dit rien sur la façon dont cette sécurité doit être implémentée.

S’appuyer sur les exigences de la Certification HDS peut donc les aider à se conformer au RGPD. Néanmoins, les entreprises restent tenues de se conformer à toutes les exigences qui ne sont pas couvertes par la Certification HDS.

Stephanie @ Pryv

June, 2020

Sources: